BlackByte勒索软件团伙重生,FBI提供防止黑客入侵的提示
雅加达 - 勒索软件团伙BlackByte在针对至少三个关键的美国基础设施部门后似乎重生了。因此,这一个帮派不容小觑。
BlackByte是一种勒索软件即服务(RaaS)操作,将其勒索软件基础架构出租给他人以换取赎金。
该团伙于2021年7月出现,当时它开始利用软件漏洞来针对世界各地的企业受害者。
在发布的警告中,联邦调查局和特勤局(USSS)网络安全顾问警告说,勒索软件团伙已经危及许多美国和外国企业,包括至少三次对美国关键基础设施的攻击,如政府设施,金融服务,食品和农业。.
根据联邦调查局和特勤局的报告,BlackByte取得了一些早期的成功,例如对美国,欧洲和澳大利亚的制造业,医疗保健和建筑业的攻击。
几个月后,当网络安全公司Trustwave发布解密工具时,该团伙度过了一段艰难的时期,该工具允许BlackByte受害者免费恢复勒索软件团伙窃取的文件。
有些人认为勒索软件是业余爱好者的工作,勒索软件下载并执行相同的密钥来加密AES中的文件,而不是每个会话的唯一密钥。尽管遭遇了挫折,但BlackByte的运营似乎带着复仇回来了。
正如TechCrunch在2月15日星期二报道的那样,现在来自两个机构的网络顾问都专注于提供入侵指标(IOC),组织可以使用这些指标来检测和防御BlackByte攻击。
与 BlackByte 活动相关的 IOC 包括在受感染的 Microsoft Internet Information Services (IIS) 服务器上发现的可疑 ASPX 文件的 MD5 哈希值,以及勒索软件操作员在攻击期间使用的命令列表。
联邦调查局和USSS都分享了一些避免BlackByte攻击的技巧:
定期备份所有数据以另存为受密码保护的脱机副本。确保无法访问此副本以进行修改或删除原始数据所在的任何系统。实施网络分段,以便网络上的所有计算机都无法从其他所有计算机访问。在所有主机上定期安装和更新防病毒软件,并启用实时检测。在操作系统、软件和固件更新或修补程序发布后立即安装它们。查看域控制器、服务器、工作站和 Active Directory 中是否有新的或未知的用户帐户。使用管理权限审核用户帐户,并在配置访问控制时考虑最低权限。不要授予所有用户的管理权限。禁用未使用的远程访问端口或远程桌面协议 (RDP),并监视远程访问或 RDP 日志中的异常活动。请考虑向从组织外部接收的电子邮件添加电子邮件横幅。禁用收到的电子邮件中的超链接。登录帐户或服务时使用双重身份验证。确保对所有帐户执行定期审计。确保将所有已识别的 IOC 输入 SIEM 网络,以便持续监视和发出警报。